Важные проблемы, которые необходимо решить при настройке ISA Server в качестве VPN-сервера, включают:

· Настройка внутренней сетевой инфраструктуры для поддержки VPN-клиентов
· Запуск мастера VPN на ISA Server
· Настройка VPN-клиентов

===========================
Проектирование внутренней сетевой инфраструктуры для поддержки VPN-клиентов
===========================

Хотя вам может не потребоваться вносить какие-либо серьезные изменения во внутреннюю сетевую инфраструктуру, есть некоторые вещи, которые необходимо учитывать, чтобы VPN-подключения работали правильно.

===========================
Решение проблем с VPN-клиентом

===========================

Первой серьезной проблемой является IP-адресация для VPN-клиентов. Сервер RRAS/ISA может использовать либо статический пул IP-адресов, настроенный вами на сервере RRAS/ISA, либо вы можете разрешить ему использовать DHCP для назначения адресов.

Если вы решите назначать адресную информацию для VPN-клиентов через DHCP, вы должны подумать о взаимосвязи между DHCP-сервером и внутренним интерфейсом ISA-сервера. Помните, что DHCP — это широковещательный протокол, поэтому вам нужно будет разместить DHCP-сервер в том же сегменте, что и внутренний интерфейс ISA-сервера, чтобы он мог получать IP-адреса и передавать их VPN-клиентам.

Например, представьте, что у вас есть ISA Server с двумя сетевыми интерфейсами, один из которых подключен к Интернету, а другой — во внутренней сети. Интерфейс во внутренней сети имеет IP-адрес 192.168.1.1/24. Вам потребуется разместить DHCP-сервер в той же физической и логической подсети, что и внутренний интерфейс DHCP-сервера; т. е. IP-адрес DHCP-сервера должен быть в сетевом идентификаторе 192.168.1.0/24.

Однако это не единственный подход, а просто самый простой. Вы не обязаны размещать DHCP-сервер в той же подсети, что и внутренний интерфейс ISA-сервера. Если у вас есть DHCP-сервер во внутренней сети, удаленный от внутреннего интерфейса ISA-сервера, вам потребуется настроить агенты ретрансляции DHCP или BOOTP во внутренней сети, чтобы RRAS/VPN-сервер мог связываться с удаленным DHCP-сервером. получить блок IP-адресов.

Например, возьмем тот же ISA Server, о котором мы говорили выше, с внутренним IP-адресом 192.168.1.1/24. У вас есть DHCP-сервер в сети с идентификатором 192.168.2.0/24. Для поддержки ISA-сервера вам необходимо установить агент DHCP-ретрансляции в сети с идентификатором 192.168.1.0/24 и указать его на сервер DHCP в сети с идентификатором 192.168.2.0/24, или вы должны включить ретрансляцию BOOTP на маршрутизаторах. между ISA-сервером и DHCP-сервером.

===========================
Как RRAS получает IP-адреса

===========================

Сервер RRAS/VPN будет получать IP-адреса блоками по 10 от DHCP-сервера. Когда ISA Server запустится, он свяжется с сервером DHCP и получит 10 адресов. Он будет использовать первый адрес для назначения своему виртуальному интерфейсу, а остальные десять зарезервирует для VPN-клиентов. Если сервер RRAS/VPN израсходует все свои адреса, передав их всем VPN-клиентам, он получит еще один блок из 10 адресов. Это будет продолжаться до тех пор, пока ему потребуется больше адресов и пока у DHCP-сервера не закончатся адреса для предоставления RRAS/VPN-серверу.

Это поднимает важный вопрос о том, чтобы убедиться, что у вас достаточно IP-адресов для назначения всем VPN-клиентам. Если вы хотите поддерживать 128 одновременных VPN-подключений, то у вас должно быть как минимум столько же IP-адресов в вашей области. При создании области DHCP назначьте ей все адреса идентификатора сети, а затем исключите адреса для серверов, требующих статических адресов, таких как серверы WINS, DNS и DHCP. Также не забудьте исключить внутренний интерфейс ISA Server.

Используя этот подход, клиентам VPN будут назначены IP-адреса, которые находятся в том же сетевом идентификаторе, что и внутренний интерфейс ISA Server.

===========================
Назначение сервера имен

===========================

Клиентам VPN также требуется назначение адреса сервера имен. По умолчанию клиенты DHCP не получают параметры DHCP от сервера DHCP. Причина этого в том, что клиенты DHCP/VPN никогда не связываются с DHCP-сервером при подключении к VPN-серверу.

Однако, если вы хотите, чтобы VPN-клиенты получали другую информацию об IP-адресах от DHCP-сервера, вам необходимо установить DHCP Relay Agent на RRAS/VPN-сервере. Когда агент ретрансляции DHCP установлен, клиенты VPN смогут получать параметры DHCP, такие как записи WINS, DNS и WPAD.

Если вы не хотите, чтобы клиенты VPN получали параметры DHCP с сервера DHCP, клиентам будут назначены адреса WINS и DNS из внутреннего интерфейса в качестве сервера RRAS/VPN. То есть любые адреса, которые вы настроили на внутреннем интерфейсе ISA Server, будут назначены клиентам VPN.

На многосетевых машинах вы должны указать серверу RRAS, через какой интерфейс он должен получить эти настройки. Вы можете настроить этот параметр, выполнив следующие шаги:

1. Откройте консоль RRAS на ISA Server.

2. Щелкните правой кнопкой мыши имя вашего сервера

3. Щелкните команду «Свойства».

4. Перейдите на вкладку IP

5. В нижней части диалогового окна вкладки IP щелкните стрелку вниз и выберите интерфейс, который вы хотите использовать, из раскрывающегося списка.

6. Нажмите «Применить», а затем «ОК».

===========================
Конфигурация DNS-сервера

===========================

У вас должен быть DNS-сервер во внутренней сети для разрешения внутренних имен хостов для клиентов VPN. При настройке внутреннего DNS-сервера убедитесь, что существуют зоны для ваших внутренних доменов. Вы также должны настроить DNS-сервер для использования серверов пересылки в Интернете для разрешения имен, для которых он не является авторитетным. При настройке DNS-сервера убедитесь, что это клиент SecureNAT и что у него есть разрешения на использование правила протокола, разрешающего исходящие DNS-запросы.

Если вы не знакомы с тем, как создать сервер пересылки на DNS-сервере Windows 2000, выполните следующие действия:

1. 1.       В меню «Пуск» откройте меню «Администрирование» и щелкните команду DNS.

2. Щелкните правой кнопкой мыши имя вашего сервера и выберите «Свойства».

3. Нажмите на вкладку «Переадресаторы», и вы увидите, что появится ниже:

4.  Поставьте галочку в поле Включить серверы пересылки. Затем введите IP-адрес в текстовое поле под IP-адресом. После ввода IP-адреса нажмите кнопку «Добавить». Поставьте галочку в поле Не использовать рекурсию, чтобы запретить серверу выполнять свои собственные итерационные запросы в случае, если сервер пересылки не может разрешить имя хоста.

5. Нажмите «Применить», а затем нажмите «ОК».

Обратите внимание на приведенный выше рисунок, что у меня есть частный IP-адрес, настроенный как сервер пересылки. Этот сервер фактически находится в подсети DMZ между двумя серверами ISA. Используя этот тип настройки, DNS-серверы Интернета никогда не связываются напрямую с внутренним DNS-сервером, что является идеальной конфигурацией безопасности.

===========================
Дополнительные серверы WINS

===========================

Внутренний WINS-сервер не является обязательным, но может потребоваться, если у вас есть клиенты нижнего уровня, подключающиеся к вашему VPN-серверу. После настройки WINS-сервера можно рассмотреть возможность настройки DNS-сервера для использования поиска WINS.

===========================
Таблица маршрутизации на ISA-сервере

===========================

Если вы хотите, чтобы VPN-клиенты могли подключаться к серверам, которые не имеют того же сетевого идентификатора, что и внутренний интерфейс ISA-сервера, вы должны настроить таблицу маршрутизации на ISA-сервере. Должен быть маршрут для всех идентификаторов сети в вашей внутренней сети. Вы можете настроить это вручную, используя команду ROUTE ADD из командной строки, или вы можете использовать простой протокол маршрутизации, такой как протокол информации о маршрутизации (RIP). Вы даже можете использовать OSPF, если вам нравится такое наказание. Как вы увидите позже, использование RIP может решить некоторые проблемы с адресацией клиентского шлюза.

===========================
Запуск мастера VPN-клиента

===========================

Чтобы запустить мастер VPN-клиента, выполните следующие действия:

1. Откройте консоль управления ISA.

2. Щелкните правой кнопкой мыши узел «Конфигурация сети» на левой панели и выберите команду «Разрешить подключения клиента VPN».

3. Откроется страница приветствия мастера ISA VPN Server. Нажмите Далее, чтобы продолжить.

4. Угадай, что? Вы находитесь на последней странице Мастера! Это было быстро, не так ли? Обратите внимание, что на этой странице есть кнопка «Подробнее». Нажмите на это, и вы увидите что-то вроде этого:

Настройте сервер маршрутизации и удаленного доступа в качестве сервера виртуальной частной сети (VPN).

Применяйте безопасные методы аутентификации и шифрования.

Откройте фильтры статических пакетов, чтобы разрешить PPTP и L2TP через протоколы IPSEC.

Количество портов, доступных для подключения клиентов, равно 128, но это число можно изменить в консоли маршрутизации и удаленного доступа.

Это говорит нам о том, что ISA Server собирается настроить RRAS, чтобы разрешить входящий доступ к VPN-клиентам. VPN-сервер потребует аутентификации от VPN-клиентов с использованием либо PPTP, либо L2TP/IPSec. Мастер настроит 128 портов, к которым могут подключаться VPN-клиенты.

После завершения работы мастера и проверки консоли маршрутизации и удаленного доступа не беспокойтесь, если вы не видите все эти порты. Настройка сделана в реестре, но консоль RRAS не будет обновляться до перезагрузки сервера.

5. Нажмите кнопку «Назад», а затем нажмите «Готово».

6. Если RRAS запущен, вы увидите диалоговое окно, подобное показанному ниже:

7. Нажмите «Да», и вы увидите, как часы тикают, когда служба запущена.

8. Откройте консоль маршрутизации и удаленного доступа. Щелкните правой кнопкой мыши имя вашего сервера и выберите «Свойства», вы увидите следующее:

Если ваши настройки на вкладке «Общие» не выглядят так, исправьте их. Вам необходимо включить параметр «Маршрутизатор», а также параметры маршрутизации LAN и вызова по требованию. Также убедитесь, что установлен флажок Сервер удаленного доступа.

9. Нажмите на вкладку IP, и вы увидите то, что появится ниже:

Вам необходимо включить IP-маршрутизацию, потому что именно этот параметр позволит VPN-клиентам получать доступ к ресурсам, отличным от тех, которые содержатся на самом VPN-сервере. Вы также должны включить Разрешить удаленный доступ на основе IP и подключения по требованию, чтобы клиенты VPN могли получать информацию об IP-адресах.

Обратите внимание, что назначение адресов по умолчанию обрабатывается DHCP. Если у вас нет DHCP-сервера, то ни виртуальный интерфейс на ISA-сервере, ни клиенты не смогут получить информацию об IP-адресах. Если у вас нет DHCP-сервера, вам следует настроить статический пул адресов для предоставления IP-адресов виртуальному интерфейсу и клиентам VPN. Очень важно установить внутренний интерфейс в раскрывающемся списке Адаптер. Мастер может не всегда угадывать правильный адаптер. Убедитесь, что вы вручную настроили внутренний интерфейс с правильными адресами серверов WINS и DNS. Вы не можете использовать DHCP для назначения параметров DHCP после установки ISA Server, потому что агент DHCP Relay не работает после установки ISA Server.

===========================
Конфигурации VPN-клиента

===========================

Конфигурация VPN-клиента будет отличаться в зависимости от того, какую операционную систему вы используете для подключения к VPN-серверу. Любой компьютер с адаптером VPN, поддерживающим PPTP или L2TP/IPSec, может подключиться к серверу VPN. Вы можете вызвать VPN-сервер, используя либо IP-адрес, либо полное доменное имя. На ISA-сервере не обязательно должен быть набор адресатов, чтобы вы могли звонить по полному доменному имени, но на общедоступном DNS-сервере должна быть запись DNS, которая разрешается во внешний IP-адрес ISA-сервера.

===========================
Клиентские соединения и шлюзы

===========================

При установке соединения VPN-клиента вы фактически устанавливаете два соединения. Первое подключение — это физический канал, который обычно устанавливается с локальным интернет-провайдером. Вторая, или «виртуальная», ссылка делается на IP-адрес VPN-сервера. Когда вы подключаетесь к своему интернет-провайдеру, таблица маршрутизации на VPN-клиенте изменяется таким образом, что шлюз для коммутируемого соединения становится шлюзом по умолчанию для компьютера. Однако при выполнении второго коммутируемого подключения этот шлюз по умолчанию заменяется шлюзом к VPN-серверу.

Это создает проблему для VPN-клиентов, которые хотят выходить в Интернет при подключении к VPN-серверу. Есть несколько способов справиться с этой ситуацией. Во-первых, вы можете настроить веб-браузеры клиентов VPN в качестве клиентов веб-прокси в сети, к которой они установили VPN-подключение. Введите IP-адрес внутреннего интерфейса ISA Server в настройки прокси браузера VPN-клиента. Другой вариант — снять отметку с опции «использовать шлюз по умолчанию в удаленной сети» для VPN-подключения, как показано в конфигурации VPN-клиента рабочей станции Windows NT 4.0 ниже. Когда вы выбираете эту опцию, шлюз по умолчанию остается шлюзом, назначенным вашим интернет-провайдером, и поэтому все связанные с Интернетом запросы будут направляться к интернет-провайдеру.

Если вы выберете второй вариант, вы можете потерять подключение к сети VPN. Однако этого не должно быть, потому что если вы выполните печать маршрута в командной строке на клиенте VPN, вы увидите запись в таблице маршрутизации, которая направляет запросы в сеть VPN на шлюз VPN.

===========================
Маршрутизируемые удаленные сети

===========================

Все становится немного сложнее, когда у вас есть несколько внутренних сетевых идентификаторов во внутренней сети, к которой подключается VPN-клиент.

Например, предположим, что клиент VPN подключается к серверу VPN и получает адрес 192.168.1.54. IP-адрес внутреннего интерфейса ISA Server — 192.168.1.1/24. VPN-клиент сможет получить доступ ко всем хостам в сети с идентификатором 192.168.1.0/24, поскольку у него есть запись в таблице маршрутизации, в которой говорится, что все пакеты для этого сетевого идентификатора следует отправлять на интерфейс VPN-шлюза. Однако, если у вас есть другая сеть, например 192.168.10.0/24 во внутренней сети, у VPN-клиента нет записи в таблице маршрутизации для поддержки этой сети, и он отправит запрос на шлюз по умолчанию, который теперь является интернет-провайдером. шлюз. Запрос завершится ошибкой, поскольку шлюз интернет-провайдера отклонит запрос на идентификатор частной сети.

Чтобы решить эту проблему, вы можете создать записи таблицы маршрутизации на клиентах VPN, чтобы использовать адрес шлюза VPN для сетевых идентификаторов в удаленной сети. Это становится немного проблематичным, поскольку VPN-шлюз назначается через DHCP, поэтому со временем он может измениться. Лучшее решение — настроить VPN-клиент в качестве прослушивателя RIP. Когда вы устанавливаете прослушиватель RIP на клиенте VPN, он сможет получать записи таблицы маршрутизации с сервера VPN, если сервер настроен как маршрутизатор RIP.

===========================
Разрешить разрешения клиента RAS

===========================

По умолчанию политика RAS на VPN-сервере запрещает входящие вызовы. Чтобы разрешить входящие вызовы от ваших VPN-клиентов, выполните следующие действия:

1. Откройте консоль маршрутизации и удаленного доступа из меню «Администрирование».

2. Разверните имя своего сервера и щелкните узел Политики удаленного доступа.

3. Дважды щелкните Разрешить доступ, если включено разрешение на телефонный звонок. Вы увидите, что изображено на рисунке ниже.

4. Нажмите кнопку «Предоставить разрешение на удаленный доступ». Обратите внимание, что если вы не выберете этот параметр, вы можете переопределить разрешение «Запретить удаленный доступ», настроив учетную запись пользователя в Active Directory, чтобы разрешить разрешение на удаленный доступ. Однако это применимо только к доменам основного режима.

5. Нажмите «Применить», а затем «ОК».

===========================
Вывод

===========================

ISA Server можно настроить как VPN-сервер и принимать подключения VPN-клиентов. Перед развертыванием сервера ISA VPN необходимо принять во внимание несколько элементов сетевой инфраструктуры. Архитектура DNS, WINS и DHCP вашей внутренней сети должна быть правильно настроена для поддержки соединений VPN-клиентов. Сервер VPN также должен быть разработан с учетом клиентов VPN. Пока мастер VPN-клиента настраивает ISA Server и RRAS для поддержки запросов на коммутируемое соединение VPN, вам может потребоваться проверить изменения конфигурации, внесенные мастером. В большинстве случаев VPN-сервер будет работать автоматически, но всегда следует проверять, поддерживают ли настройки по умолчанию вашу инфраструктуру.

Конфигурация VPN-клиента различается в зависимости от операционных систем, работающих на VPN-клиенте. Однако вы должны знать, как изменения адреса шлюза повлияют на возможность VPN-клиентов получать доступ к интернет-ресурсам и ресурсам в многосегментной локальной сети в удаленной сети.